問題
新同盟使用者無法登入 Microsoft 雲端服務,例如 Office 365、Microsoft Azure 或 Microsoft Intune。 使用者會遇到下列其中一種症狀:
-
使用者在 login.microsoftonline.com 網頁上輸入使用者識別碼後,無法透過家庭領域探索將使用者識別碼識別為同盟使用者,使用者也不會自動重新導向至透過單一登入 (SSO) 登入。
-
Active Directory 同盟服務 (AD FS) 驗證失敗,使用者會收到以下以表單為基礎的驗證錯誤訊息:
使用者名稱或密碼不正確
-
使用者會在 login.microsoftonline.com 網頁上收到下列錯誤訊息:
很抱歉,我們無法將您登出
原因
出現這些問題的原因可能是試驗 SSO 使用者識別碼不良。 試驗 SSO 使用者識別碼的一般需求如下:
-
內部部署的 Active Directory使用者帳戶應該使用同盟功能變數名稱做為 UPN) 尾碼 (使用者主體名稱。
-
相關聯Microsoft Exchange Online信箱的使用者識別碼和主要電子郵件地址並不會共用相同的網域尾碼。
-
Azure Active Directory 同步處理工具必須將內部部署的 Active Directory使用者帳戶同步處理至雲端使用者識別碼。
-
內部部署的 Active Directory使用者帳戶的 UPN 和雲端使用者識別碼必須相符。
在您假設發生此問題之前,請先確認下列條件為 True:
-
使用者沒有遇到常見的登入問題。 如需有關如何疑難排解常見登入問題的詳細資訊,請參閱下列 Microsoft 知識庫文章:
2412085 您無法登入您的組織帳戶,例如 Office 365、Azure 或 Intune
-
同盟網域已正確準備以支援 SSO,如下所示:
-
同盟網域可由 DNS 公開解析。 (這不包含預設的「onmicrosoft.com」網域。)
-
同盟網域已根據下列 Microsoft 網站為 SSO 做好準備。
注意:網域同盟轉換可能需要一些時間來傳播。 您應該在同盟網域後等候兩小時,然後再假設網域設定有誤。
-
解決 方案
若要解決此問題,請確定使用者帳戶已正確試驗為支援 SSO 的使用者識別碼。 若要這麼做,請使用下列一或多個方法:
方法 1:請參閱知識庫文章,2615736使用者收到「很抱歉,但無法登入」錯誤
如果使用者收到「很抱歉,但無法將您登入」錯誤訊息,請使用下列 Microsoft 知識庫文章來疑難排解問題:
2615736使用者嘗試登入 Office 365、Azure 或 Intune 時發生「很抱歉,我們無法登入您的問題」錯誤Intune
方法 2:更新內部部署使用者帳戶的 UPN,以使用同盟網域做為其後綴
變更 Active Directory 使用者帳戶的 UPN 警告可能會嚴重影響使用者的內部部署的 Active Directory功能。 我們建議您小心並謹慎處理 UPN 變更。
此效果可能包含下列專案:
-
使用快取認證漫遊登入作業系統的使用者,遠端存取內部部署資源
-
使用使用者憑證遠端存取驗證技術
-
以使用者憑證為基礎的加密技術,例如安全 MIME (SMIME) 、資訊版權管理 (IRM) 技術,以及 NTFS 的加密檔案系統 (EFS) 功能
-
智慧卡功能
我們強烈建議您試驗單一使用者帳戶,以便更深入瞭解更新 UPN 會如何影響使用者存取。 這項資訊對於事先規劃或減少憑證復原、資料復原,以及使用這些技術維護資料協助工具所需的任何其他補救很有用。
您必須在內部部署的 Active Directory環境和 Azure AD 中更新使用者帳戶 UPN 以反映同盟網域尾碼。 如果要執行這項操作,請依照下列步驟執行:
-
請確定同盟網域已新增為 UPN 尾碼:
-
在內部部署的 Active Directory網域控制站上,按一下 [開始],指向[所有程式],按一下 [系統管理工具],然後按一下 [Active Directory 網域與信任]。
-
以滑鼠右鍵按一下 Active Directory 網域和信任的根節點,選取 [ 內容],然後確定 SSO 所用的功能變數名稱存在。
注意:無法路由路由的網域尾碼,例如 domain.internal 或 domain.microsoftonline.com 網域無法利用 SSO 功能或同盟服務。 此步驟不得使用無法路由路由的網域尾碼。
-
-
手動更新問題使用者帳戶的 UPN 尾碼:
-
在內部部署的 Active Directory網域控制站上,按一下 [開始],指向[所有程式],按一下 [系統管理工具],然後按一下[Active Directory 消費者和電腦]。
-
找出問題使用者帳戶,以滑鼠右鍵按一下帳戶,然後按一下 [ 內容]。
-
在 [ 帳戶] 索引標籤上,使用左上角的下拉式清單,將 UPN 尾碼變更為自訂網域,然後按一下 [ 確定]。
-
方法 3:確認Exchange Online信箱的使用者識別碼和主要簡易郵件傳輸通訊協定 (SMTP) 位址具有相同的網域
使用內部部署 Exchange 管理工具,將內部部署使用者的主要 SMTP 位址設定為方法 2 中所述 UPN 屬性的相同網域。 如需詳細資訊,請移至下列 Microsoft TechNet 網站:
編輯電子郵件地址原則
設定使用者和資源信箱屬性如果未在內部部署環境中安裝 Exchange,您可以使用 Active Directory 消費者和電腦 來管理 SMTP 位址值。 如果要執行這項操作,請依照下列步驟執行:
-
在 Active Directory 消費者和電腦 中,以滑鼠右鍵按一下使用者物件,然後按一下 [內容]。
-
在 [一 般] 索引 標籤上,更新 [電子郵件] 字 段,然後按一下 [ 確定]。
方法 4:設定使用者帳戶 UPN 的 Active Directory 同步處理
若要讓 SSO 正確運作,您必須設定 Active Directory 同步處理用戶端。 如需如何設定 Active Directory 同步處理的詳細資訊,請移至下列 Microsoft 網站:
Active Directory 同步處理:藍圖如需如何強制和驗證同步處理的詳細資訊,請移至下列 Microsoft 網站:
方法 5:針對特定使用者帳戶的 UPN 更新問題進行疑難排解
如果可以驗證同步處理,但試驗使用者識別碼的 UPN 仍未更新,則可能會發生特定使用者的同步處理問題。
如需有關如何疑難排解同步處理特定 Active Directory 物件之潛在問題的詳細資訊,請參閱下列 Microsoft 知識庫文章:
2643629 使用 Azure Active Directory 同步處理工具時,一或多個物件無法同步處理
是否仍需要協助? 移至 Microsoft 社 群或 Azure Active Directory 論壇 網站。